[点击查看原图]

    瑞星反病毒工程师介绍说，此前“my123”及其一部分变种已经被列入病毒库，可以被瑞星杀毒软件彻底查杀。而随着卡卡3.0的发布，非瑞星用户也可以采用反病毒技术来清除该流氓软件，这一行动把“my123”制造者逼入了死角，致使其展开疯狂的技术升级与瑞星卡卡对抗。

    根据瑞星客户服务中心的调查统计，目前约有5%的上网电脑曾经被该病毒感染，首页被篡改。按照国家相关部门的数据，目前我国有5000万上网电脑，据此测算，已经有大约250万台上网电脑被该病毒感染。

    瑞星副总裁毛一丁表示，“不管流氓软件采用什么样的技术手段，我们都会和他死磕到底。针对my123，我们已经启动了紧急处理机制，只要出现变种就会在最短的时间内被瑞星卡卡杀掉。另一方面，我们将通过各种技术手段追杀my123的幕后黑手，通过追查其域名注册者信息、主机托管信息等方式，向公安机关举报，协助有关部门进行调查。”

    根据瑞星工程师对my123的域名注册、主机托管等信息的分析和技术追踪表明，该流氓软件的受益者是网址导航站点：www.my123.com（IP：218.25.68.146），www.my123.com的ICP证信息为虚假信息（粤ICP备06012658号）,而释放流氓软件和病毒的母体域名是dl.hao318.com（IP:218.25.68.146），和受益网站为同一IP地址，该网站主机托管于辽宁沈阳某机房。

    瑞星已将该网站所有人姓名和居住地等信息通报给公安部门，根据我国法律，病毒制造者将被判处7年以下有期徒刑。

    针对“my123”流氓软件（病毒），瑞星将推出“my123专杀工具”，并将其集成在卡卡3.0之中，供网民免费下载（http://www.yaocong.com/Soft/200611/127.html）。已经安装了瑞星卡卡的用户，可以点击“立即升级”按钮升级到最新版本，然后利用其集成的“my123专杀工具”对其进行彻底查杀。

附：流氓软件My123分析报告

恶意程序My123

这是一个使用[C++]编写的, 使用驱动保护的恶意程序.
系统被感染后, 打开IE或者其他浏览器起始页面被篡改为http://***.my123.com/.

通过其他恶意程序或者自身下载升级下载并得到执行.

该程序修改IE起始页, 并使用HOOK技术, 导致Start Page内容无法正确读取, 使用随机文件名达到屏蔽文件名清除模式

1. 恶意软件的升级
 首先下下载升级内容, 然后从升级配置中获取更进一步的自身升级地址.
 http://dl.hao318.com/dl/mspalnt1.ini
 http://dl.hao318.com/dl/mspalnt2.ini
 http://dl.hao318.com/dl/mspalnt3.ini

2. DLL本体会复制到系统目录(%SYSTEMDIR%). 驱动则被复制到驱动目录(%SYSTEMDIR%\Drivers\)

3. 创建注册表项
 HKEY_LOCAL_MACHINE\Software\wsword
 HKEY_LOCAL_MACHINE\Software\mspalnt
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
 添加数据为%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllCanUnloadNow
           %SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllUnregisterServer

4. 会安装驱动进行自我保护